AppSec & DevSecOps Jobs

Senior Application Security, WMX ЗП: 350-450к net WMX — российский разработчик решений в области кибербезопасности. Уже более 12 лет мы создаем продукты для защиты веб-приложений, API и цифровых сервисов. Сейчас мы усиливаем экспертизу в области безопасности собственных продуктов и ищем Senior AppSec Engineer, который будет участвовать в развитии практик безопасной разработки, помогать командам принимать безопасные архитектурные решения и влиять на качество защиты продуктов на всех этапах жизненного цикла. Чем заниматься: - Проводить архитектурные ревью и моделирование угроз как для текущих, так и для новых сервисов и функциональностей. - Проводить анализ защищенности приложений, API и бизнес-логики. - Выявлять риски безопасности и помогать командам находить оптимальные способы их устранения. - Развивать практики Secure SDLC совместно с командами разработки и DevOps. - Работать с результатами AppSec-инструментов (SAST, DAST, SCA) и процессом управления уязвимостями. - Участвовать в аудитах, сертификационных активностях и развитии требований безопасной разработки. Требования: - Опыт работы в AppSec / Product Security от 4 лет. - Опыт проведения архитектурных ревью и threat modeling. - Хорошее понимание OWASP Top 10, OWASP API Top 10, CWE. - Опыт работы с AppSec-инструментами (SAST, DAST, SCA). - Понимание принципов Secure SDLC и современных подходов к безопасной разработке. - Опыт взаимодействия с командами разработки. - Способность анализировать код и понимать типовые уязвимости современных приложений. Будет плюсом: - Опыт работы с Kubernetes, Docker, Terraform и облачными платформами. - Опыт интеграции инструментов безопасности в CI/CD. - Опыт подготовки продуктов к сертификации ФСТЭК. Процедура отбора: HR скрининг-->Fit интервью-->Tech интервью-->СБ-->Offer Уровень: Middle+/Senior Формат: офис/гибрид  Контакт: @Dante2707

Руководитель направления безопасности облака, IT аккредитованный облачный провайдер ЗП: от 400 до 550 000 гросс Обязанности: Использование платформенных сервисов безопасности облака; Формирование и внедрение secure-by-default настроек для используемых облачных сервисов; Разработка security baselines для всех используемых облачных сервисов; Формирование и контроль требований кибербезопасности по использованию облачных сервисов; Участие в миграции информационных систем компании в облако; Выявление потенциальных векторов атак в облачных сервисах; Создание автоматизированных проверок безопасности конфигураций в облаке; Взаимодействие с командами кибербезопасности, отвечающих за наложенные средства кибербезопасности; Постоянно повышать защищенность инфраструктуры, размещенной в облаке; Выступать заказчиком новых функций кибербезопасности; Управление группой инженеров направления (2-3). Требования: Опыт работы с облачными платформами (AWS, Azure, GCP,Yandex) - от 3-х лет; Знание протоколов аутентификации и авторизации OAuth 2.0, OIDC, SAML, и т.д.; Опыт работы с IAM решениями (облачных провайдеров или on-premise); Опыт работы с Kubernetes и контейнеризацией на уровне пользователя. Знание и опыт использования подхода Infrastructure as Code (Terraform, CloudFormation); Опыт с CI/CD pipeline security; Понимание OWASP Top 10; Понимание принципов устройства REST/gRPC API; Управление целями, управление командой. Технические навыки: Языки программирования: Python, Go, Bash; Мониторинг: Prometheus, Grafana, ELK Stack. Желательные навыки: Сертификации: AWS Security Specialty, CISSP, CCSP; Опыт с compliance frameworks (ISO 27001, PCI DSS); Знание threat modeling и risk assessment. Опыт в области DevSecOps. Контакты: @oh_my_nerdy

Руководитель направления безопасности контейнерных сред, IT аккредитованный облачный провайдер ЗП: от 400 до 650 000 гросс Обязанности: Организация анализа защищенности средств контейнеризации. Взаимодействовать с командами разработки Managed Kubernetes, PaaS. Настройкой и разработкой Pod Security Policies, RBAC и Network Policies в Kubernetes. Участие в разработке и реализации безопасных архитектурных решений в контексте k8s. Внедрение средств защиты и мониторинга кибербезопасности для контейнерных сред. Отвечать за рекомендации по харденингу инфраструктуры контейнерных сред публичного и частного облаков компании. Требования: Опыт внедрения и эксплуатации систем защиты класса Container Platform Security. Экспертные знания Linux и его аспектов безопасности. Владение инструментами IaC. Опыт настройки механизмов защиты k8s (RBAC, Pod Security Policies, Network Policies). Опыт в роли DevSecOps, DevOps или в смежных областях от 4 лет. Опыт управления аналогичной командой от 1 года Контакты: @oh_my_nerdy

Principal Security Engineer (DRI), TaxDome Format: It’s a fully remote role, we are hiring across European timezones. Candidates must be based outside Russia and Belarus About this role We’re looking for a Principal Security Engineer (DRI) to join our Engineering organization and own application security across TaxDome’s platform during our AI-first engineering transformation. In this role, you’ll define and build the security model for AI-generated software delivery, embed security into product development and release gates, and directly impact product safety, platform resilience, and customer trust. What you’ll be responsible for - Own and drive the Application Security workstream as the security DRI across all Domains and Pods. - Build automated security controls across the delivery loop, including secret scanning, SAST, SCA, IaC, container, dependency, and DAST gates. - Embed security into product discovery, threat modeling, acceptance criteria, and architecture decisions. - Define controls for AI-generated code, including dependency risk, tenant isolation, prompt injection, agent misuse, and risky migrations. - Own the security reviewer AI agent and improve its detection quality, escalation logic, and coverage. - Partner on incident response, supply chain security, secrets management, and compliance-related technical controls. - Raise security maturity through practical guidance, reusable rules, and developer education. What you bring Must-have - 7+ years in Application/Product Security, including senior IC ownership at Staff/Principal level or equivalent. - Experience securing multi-tenant SaaS products handling sensitive or regulated data. - Strong hands-on background in DevSecOps and CI/CD security automation. - Practical experience with AI/LLM security risks and controls. - Ability to review code and work closely with engineering across modern backend/platform stacks. - Strong written communication in English and Russian, with clear ownership and the ability to influence others. Nice-to-have - Experience leading security through major engineering transformations such as AI-first, cloud, microservices, or platform-scale change. - Background in fintech, tax, payments, or other heavily regulated environments. - Experience building or operating security-focused AI agents in production. - Strong AWS/GCP, Kubernetes, and cloud/runtime security expertise. To apply: https://careers.taxdome.com/v/204934-principal-security-engineer-dri Contacts: @Kate_bell

Application Security Business Partner (Application Security Engineer) Компания: EMCD (emcd.io), международная крипто-финтех компания и один из крупнейших майнинг-пулов. ЗП: в рамках 6к$ Формат: удалёнка, любая локация Что предстоит делать: — Работать с командами разработки и влиять на безопасность продуктов. — Анализировать требования и их влияние на security. — Делать threat modeling и предлагать решения. — Проводить security review архитектуры, кода и релизов. — Контролировать устранение уязвимостей. — Встраивать security в CI/CD вместе с DevSecOps. Что важно: — От 3-х лет опыта в application security. — Понимание OWASP Top 10 / Mobile Top 10 / CWE. — Опыт работы со стандартами (OWASP ASVS, WSTG). — Понимание инфраструктуры, контейнеризации. — Опыт разработки на Go/Python/JS) - плюс Контакты: @AlesyaRecruiter

Почему бизнес выбирает багбаунти 🤑 Уязвимости есть у всех. Вопрос — кто найдет их первым: те, кто может нанести бизнесу ущерб, или те, кто даст вам время их устранить. Запуск своей программы багбаунти — поиска уязвимостей с помощью багхантеров — уже выбрали сотни компаний, среди которых Apple, Google, Wildberries, Ozon и VK. Но этот путь подходит не только огромным корпорациям, но и малому и среднему бизнесу, которые только начинают выстраивать процессы безопасности. И дело не в формальности — это экономически обоснованный подход: найти уязвимость заранее и заплатить за это багхантерам дешевле, чем получить убытки в результате реальной кибератаки. 🎤 О том, как подготовиться к запуску и встроить багбаунти в процессы безопасности, расскажем на вебинаре 5 мая в 14:00. Вы узнаете: • как встроить багбаунти в стратегию AppSec и риск-менеджмента; • в каких сценариях программа дает максимальную экономию и высокий ROI; • как масштабировать программу и привлекать топовых исследователей на рынке. Эфир будет полезен и тем компаниям, которые уже вышли на багбаунти, и тем, кто еще только задумывается о запуске собственной багбаунти-программы. Регистрируйтесь на вебинар, чтобы узнать, как использовать багбаунти с выгодой для бизнеса 💵

AppSec инженер ЗП: до 350 000 на руки Формат работы: Удаленка/гибрид Занятость: полная, график 5/2 Условия: Оформление в штат по ТК О нас: Мы — единый оператор данных всего Транспортного комплекса Москвы. Наша цель — создавать умные и удобные цифровые продукты, которые делают городскую среду безопаснее и комфортнее для пассажиров и водителей. В нашем центре работает более 350 сильных профессионалов, увлеченных технологиями и данными. Кого ищем: Опытного инженера по безопасной разработке (AppSec) от 3+ лет, который умеет внедрять процессы, а не просто искать уязвимости. Чем предстоит заниматься: - Внедрять и развивать Secure SDLC - Настраивать SAST / DAST / SCA и встраивать их в CI/CD - Участвовать в проектировании архитектуры (security-by-design) - Писать требования безопасности для новых сервисов - Анализировать уязвимости и контролировать их закрытие - Ставить задачи разработке и доводить до исправления - Проводить threat modeling (моделирование угроз) - Создавать регламенты и инструкции - Обучать разработчиков: ревью, консультации - Взаимодействовать с DevOps по интеграции security в CI/CD Что нужно: Опыт в AppSec / безопасной разработке от 3 лет. Знание Secure SDLC, OWASP Top 10. Практика с SAST / DAST / SCA. Понимание CI/CD, архитектуры веб-приложений и API. Опыт анализа кода и threat modeling. Умение говорить с разработчиками на их языке. Контакты: Telegram: @Alina_Bortko

Senior Application Security Engineer, Breef Agency (проект - один из крупных сервисов доставки еды в России) ЗП: 450.000-508.000 gross Формат работы: Удаленка из РФ Занятость: полная, график 5/2 Условия: Оформление по договору ИП/самозанятости/штат по ТК Вам предстоит: -Внедрение и сопровождение инструментов анализа безопасности (SAST, DAST, SCA, Secret Detection) в CI/CD; -Экспертный анализ отчетов сканирования и подготовка рекомендаций по устранению уязвимостей; -Проведение триажа результатов, управление ложноположительными срабатываниями и приоритизация задач; -Построение и развитие процессов SSDLC, интеграция security-гейтов в жизненный цикл разработки; -Проведение обучений и консультаций для команд разработки, подготовка методических материалов. Мы ожидаем что у Вас есть опыт: -Опыт AppSec Engineer 5+ лет; Контакты: @kriskrisych (Кристина)

Инженеры перебрали... Linux-кейсов 🤩 23 апреля K2 Cloud и K2Тех проведут онлайн - митап — pебята будут разбирать реальные инженерные кейсы из практики про поломанный SSH, обновление ядер, поломку сети в ВМ и балансировщики с одинаковыми конфигами, но разными результатами. А ещё можно принести свой кейс на разбор и получить приз. Подробности и регистрация по ссылке.

Application Security Business Partner (Application Security Engineer) Компания: EMCD (emcd.io), международная крипто-финтех компания и один из крупнейших майнинг-пулов. ЗП: в рамках 6к$ Формат: удалёнка, не РФ/РБ Что предстоит делать: — Работать с командами разработки и влиять на безопасность продуктов. — Анализировать требования и их влияние на security. — Делать threat modeling и предлагать решения. — Проводить security review архитектуры, кода и релизов. — Контролировать устранение уязвимостей. — Встраивать security в CI/CD вместе с DevSecOps. Что важно: — От 4-х лет опыта в application security. — Понимание OWASP Top 10 / Mobile Top 10 / CWE. — Опыт работы со стандартами (OWASP ASVS, WSTG). — Понимание инфраструктуры, контейнеризации. — Опыт разработки на Go/Python/JS) - плюс Контакты: @AlesyaRecruiter

DevSecOps Компания: Продуктовое ИТ-ДЗО телекоммуникационной компании ЗП: от 250к до 400к руб gross Локация: Москва, Санкт-Петербург Формат работы: удаленно Чем предстоит заниматься: Автоматизация сетевых политик: IaC для WAF/OPA в CI/CD, покрытие 100% ingress Защита runtime: детекция аномалий трафика (eBPF, Istio), mTLS по умолчанию Мониторинг и реагирование: интеграция сетевых алертов в SIEM, DORA-метрики для сети Интеграция SAST/SCA/DAST в CI/CD (GitLab/Jenkins), включая WAF-checks на ingress Настройка сетевой защиты: NGINX/ModSecurity WAF, Istio/Cilium для mTLS, rate-limit в K8s Автоматизация политик: OPA Gatekeeper, IaC-сканирование (Checkov) для сетевых шаблонов Terraform Развертывание eBPF-мониторинга (Luntry/Falco) для аномалий трафика и контейнеров Поддержка SSDLC: обучение команд, threat modeling, контроль compliance (ФСТЭК/NIST) Оптимизация: мониторинг MTTR/DORA, тюнинг WAF-правил, снижение FP в алертах Требуемые знания и опыт: CI/CD: GitLab / Jenkins IaC (Terraform / Ansible с Checkov) Security: OWASP Top 10 SAST / DAST / SCA (SonarQube, ZAP) secrets / Vault Контейнеры и K8s: Docker, Helm Trivy OPA / Kyverno Сети: WAF (NGINX / ModSecurity) Istio / Cilium для mTLS и rate-limit eBPF (Luntry) Автоматизация: Python / Go скриптинг policy-as-code Мониторинг: Prometheus, Grafana SIEM (ELK / Splunk) Анализ и безопасность: Threat modeling Compliance (ФСТЭК, NIST CSF) Опыт взаимодействия Dev / Ops / Sec, обучение security champions Контакты: @w_winner

Эксперт по защите периметра (WAF) в IT аккредитованную компанию. ЗП: от 250 до 450 тыс. руб. gross. Чем предстоит заниматься: • Анализ защищенности информационных систем и участие в проектировании технических решений по кибербезопасности и защите периметра • Проведение работ по пуско-наладке, испытаниям и вводу в эксплуатацию оборудования и программного обеспечения защиты периметра • Поддержание работоспособности средств защиты периметра, взаимодействие с поставщиками оборудования, программного обеспечения и услуг по защите периметра • Выполнение работ в рамках процесса компании по учету и выводу сервисов на периметр Мы ожидаем: • Опыт внедрения и эксплуатации Web-приложений средствами WAF (Wallarm, PT AF, ect). • Администрирование средств межсетевого экранирования и предотвращения вторжений NGFW/IPS (желательно). • Эксплуатация инструментальных средств поиска уязвимостей (желательно). Контакты: @it_fairy

Руководитель направления безопасности облака, IT аккредитованный облачный провайдер ЗП: от 400 до 550 000 гросс Обязанности: Использование платформенных сервисов безопасности облака; Формирование и внедрение secure-by-default настроек для используемых облачных сервисов; Разработка security baselines для всех используемых облачных сервисов; Формирование и контроль требований кибербезопасности по использованию облачных сервисов; Участие в миграции информационных систем компании в облако; Выявление потенциальных векторов атак в облачных сервисах; Создание автоматизированных проверок безопасности конфигураций в облаке; Взаимодействие с командами кибербезопасности, отвечающих за наложенные средства кибербезопасности; Постоянно повышать защищенность инфраструктуры, размещенной в облаке; Выступать заказчиком новых функций кибербезопасности; Управление группой инженеров направления (2-3). Требования: Опыт работы с облачными платформами (AWS, Azure, GCP,Yandex) - от 3-х лет; Знание протоколов аутентификации и авторизации OAuth 2.0, OIDC, SAML, и т.д.; Опыт работы с IAM решениями (облачных провайдеров или on-premise); Опыт работы с Kubernetes и контейнеризацией на уровне пользователя. Знание и опыт использования подхода Infrastructure as Code (Terraform, CloudFormation); Опыт с CI/CD pipeline security; Понимание OWASP Top 10; Понимание принципов устройства REST/gRPC API; Управление целями, управление командой. Технические навыки: Языки программирования: Python, Go, Bash; Мониторинг: Prometheus, Grafana, ELK Stack. Желательные навыки: Сертификации: AWS Security Specialty, CISSP, CCSP; Опыт с compliance frameworks (ISO 27001, PCI DSS); Знание threat modeling и risk assessment. Опыт в области DevSecOps. Контакты: @oh_my_nerdy

Руководитель направления безопасности контейнерных сред, IT аккредитованный облачный провайдер ЗП: от 400 до 650 000 гросс Обязанности: Организация анализа защищенности средств контейнеризации. Взаимодействовать с командами разработки Managed Kubernetes, PaaS. Настройкой и разработкой Pod Security Policies, RBAC и Network Policies в Kubernetes. Участие в разработке и реализации безопасных архитектурных решений в контексте k8s. Внедрение средств защиты и мониторинга кибербезопасности для контейнерных сред. Отвечать за рекомендации по харденингу инфраструктуры контейнерных сред публичного и частного облаков компании. Требования: Опыт внедрения и эксплуатации систем защиты класса Container Platform Security. Экспертные знания Linux и его аспектов безопасности. Владение инструментами IaC. Опыт настройки механизмов защиты k8s (RBAC, Pod Security Policies, Network Policies). Опыт в роли DevSecOps, DevOps или в смежных областях от 4 лет. Опыт управления аналогичной командой от 1 года Контакты: @oh_my_nerdy

Руководитель безопасной разработки ПО, "Атом Безопасность" (аккредитованная IT-компания) ЗП: 250 000 – 400 000 ₽ net (на руки) Локация: Удалённо / Гибрид / Офис (Новосибирск) Опыт: от 5 лет Чем предстоит заниматься: 🔹Стратегия: Внедрение и развитие сквозных процессов безопасной разработки (РБПО) по всей компании. Создание стандартов и регламентов. 🔹Регуляторы: Подготовка к сертификации по требованиям ФСТЭК 🔹Управление: Руководство отделом РБПО, управление бюджетом, KPI, ресурсами и рисками. Почему это важно: Нужно не просто поддерживать процесс, а строить его с нуля, внедрять культуру безопасности и проходить проверки регуляторов. Мы ищем человека, который: 🔹Имеет опыт управления командой от 2 лет (ИБ, РБПО, разработка). 🔹Успешно проводил аудиты и сертификацию по стандартам ФСТЭК. 🔹Понимает жизненный цикл ПО, моделирование угроз и рисков. 🔹Готов быть драйвером изменений и преодолевать сопротивление. Будет плюсом: 🔹Опыт в разработке СЗИ или в регулируемых сферах (финтех, госсектор, телеком). 🔹Знание нормативной базы: ФСТЭК, ГОСТы, законы о КИИ. Контакт для отклика: @paramonova_me

Application Security Еngineer (AppSec), "Атом Безопасность" (аккредитованная IT-компания) ЗП: 200 000 – 400 000 ₽ net (на руки) Локация: Удалённо / Гибрид / Офис (Новосибирск) Опыт: от 3 лет Чем предстоит заниматься: Анализ и автоматизация 🔹Ручной и автоматизированный поиск уязвимостей, верификация и эскалация критических проблем. 🔹Настройка SAST/DAST/SCA инструментов под C/C++/Rust/JS/Python. 🔹Внедрение фаззинга, анализ бинарных файлов, кастомизация правил анализа. Интеграция в процессы разработки 🔹Разработка безопасных шаблонов (Dockerfile, .gitlab-ci.yml, конфигурации компиляторов). 🔹Настройка security gateway в CI/CD: правила для MR, уведомления, отчёты. 🔹Консультирование разработчиков по безопасному коду, разбор уязвимостей. Архитектура и соответствие требованиям 🔹Помощь в архитектурном ревью новых компонентов, моделирование угроз. 🔹Определение поверхностей атаки по требованиям ФСТЭК. Мы ждём, что вы: 🔹Имеете опыт от 3 лет в разработке на C/C++/Rust или JavaScript/TypeScript/Python или в анализе защищённости приложений. 🔹Умеете настраивать инструменты анализа согласно методики ФСТЭК 🔹Знаете экосистемы пакетных менеджеров. 🔹Владеете инструментарием AppSec: SAST/DAST/SCA/ASOC, опыт с LLM для триажа уязвимостей. Контакт для отклика: @paramonova_me

Инженеры, архитекторы и ИТ-руководители! 🩵 Работаете с облаками, инфраструктурой или платформенными сервисами? ☁️☁️☁️☁️☁️☁️☁️ — как раз про ваши задачи. 🟦 K2 Cloud Conf — конференция про архитектуру, эксплуатацию, безопасность и развитие облачных платформ. Не теоретические рассуждения, а реальные инженерные решения — как устроено облако изнутри и какие проблемы приходится решать на практике. 🟦 На конференции инженеры K2 Cloud поделятся опытом развития облачной платформы — от архитектуры и эксплуатации до безопасности и платформенных сервисов. 📎 Подробности — в карточках. 📆 14 апреля 2026 📍 Москва (ЦДП) + онлайн ➡️ Принять участие в конференции Реклама. АО "К2 Интеграция". ИНН 7701829110

AppSec / DevSecOps, Ланит ЗП: до 300 000 на руки Ланит - команда профессионалов, реализующая масштабные проекты федерального уровня «под ключ». Мы выполняем полный цикл работ: от создания концепции и проектирования до сопровождения и эксплуатации внедрённых решений. Мы активно развиваем культуру безопасной разработки и усиливаем нашу команду! Мы не занимаемся «формальным комплаенсом ради галочки», а создаём настоящую инженерную безопасность: автоматизируем процессы, проводим code review, разрабатываем ботов, которые действительно помогают бизнесу и делают продукты более конкурентоспособными. Как мы работаем Автоматизируем всё, что можно: от конвейеров и Golden Repository до ботов, которые предлагают фиксы прямо в GitLab. Собираем метрики и оцениваем эффективность процессов, а также их влияние на проекты с учётом найденных уязвимостей. Оцениваем риски, связанные с бизнес-логикой приложений, и демонстрируем бизнесу ценность работы в области информационной безопасности. Обучаем сотрудников инструментам и навыкам, которые помогают расти как в глубину, так и в ширину, развивая смежные компетенции. У каждого инженера есть индивидуальный план развития. Управляем своим backlog и выстраиваем эффективное взаимодействие как внутри команды, так и с заказчиками. Что предстоит делать - Внедрять практики security by design в продуктовые команды. - Настраивать и развивать кастомные инструменты безопасности (SAST, Secrets detection, SCA, DAST, сканирование Docker). - Реализовывать security и quality gates, secret management и vulnerability management. - Писать и кастомизировать тесты для CI. - Анализировать и обрабатывать результаты сработок, включая работу с false positive/negative. - Интегрировать технические решения для использования сценариев Golden Repository. - Кастомизировать инструменты под Vulnerability Management Platform (VMP) на базе Defect Dojo. - Подготавливать и анализировать метрики для контроля поставок кода на базе VMP. - Настраивать инструменты для контроля конфигураций пайплайнов, выявления уязвимостей и тестирования защищённости инфраструктуры. - Проводить security code review сервисов перед релизом. - Участвовать в проектной работе: финтех, внутренние продукты, автоматизация пайплайнов. Что мы ждём от вас - Умение находить и устранять уязвимости из OWASP Top 10 (не только веб). - Опыт работы с одним из инструментов: Semgrep, gitleaks, trufflehog, Dependency Track, OWASP ZAP, Burp Suite, AppScrenner, Bandit, DefectDojo, DependencyCheck. - Понимание принципов построения SSDLC. - Навыки работы с PoC для доказательной базы. - Опыт автоматизации процессов через API (например, с использованием Swagger). - Опыт внедрения процедур безопасной разработки. - Глубокое понимание веб-протоколов и технологий: HTTP, HTTPS, SOAP, JSON, REST и др. - Умение работать с конфигурациями на YAML и писать сценарии. - Знание архитектурных паттернов. - Понимание сетей и интеграции инструментов безопасности в SDLC. Будет плюсом - Навыки поиска архитектурных ошибок и уязвимостей в бизнес-логике. - Понимание принципов STLC. - Знание работы веб-серверов (Nginx, Apache). - Знание протоколов MQTT, CoAP. - Опыт работы с песочницами. - Навыки разработки, анализа чужого кода и проведения security code review. - Знание стандартов безопасности: PCI DSS, ISO 27001, GDPR, ГОСТ Р 57580. Контакты: @shisha_tania

DevSecOps инженер, Industry Soft Solutions ЗП: до 350 000 на руки Занятость: полная Формат работы: удаленный Мы аккредитованная ИТ компания. Стартанули в создании собственного национального ИТ-решения для автоматизации промышленности в области ТОиР Продукт: Цифровая платформа промышленного искусственного интеллекта АтомМайнд (IoT платформа) Будем рады познакомиться, если у тебя есть: - Высшее или неоконченное высшее в сфере ИТ, информационной безопасности или смежных областях; - Опыт в DevOps /DevSecOps /ИБ от 3 лет; - Уверенное владение CI/CD; мониторинг: Prometheus, Grafana, ELK; - Опыт администрирования: Linux (Ubuntu/CentOS/AstraLinux), Docker, Kubernetes, Helm; - Знание языков автоматизации: Python/Bash/PowerShell; - СУБД: PostgreSQL (отказоустойчивые кластеры), Redis. ClickHouse (ArenaData QuickMarts); - Опыт работы с брокерами сообщений: Kafka/RabbitMQ; - Владение инструментами безопасности: SAST, DAST, SCA, Fuzzing (желательно). Основные задачи: - DevOps-практики: Администрирование Linux-серверов (Ubuntu, AstraLinux), управление кластерами Docker/Kubernetes/Helm, поддержка мониторинга (Prometheus/Grafana/ELK) и СУБД (PostgreSQL, Redis, ClickHouse). - Развертывание у заказчика: Проектирование и настройка инфраструктуры, включая брокеры сообщений (Kafka, RabbitMQ). - Безопасность инфраструктуры: Работа с уязвимостями в контейнерных средах, контроль обновлений и патчинг систем. Оценка рисков безопасности сетевых систем и продуктов. - Сертификация и стандарты: Обеспечение соответствия процессов разработки требованиям ФСТЭК, OWASP, NIST, ГОСТ Р 56939-2016. Подготовка разделов документации для сертификации ПО. - DevSecOps: Внедрение и поддержка инструментов анализа защищенности (SAST, DAST, SCA) в контур CI/CD (GitLab). Проведение анализа кода и уязвимостей, выдача рекомендаций разработчикам. Контакты: https://t.me/Yumiliq

Руководитель направления безопасности облака, Cloud.ru ЗП: от 400 до 550 000 гросс Обязанности: Использование платформенных сервисов безопасности облака; Формирование и внедрение secure-by-default настроек для используемых облачных сервисов; Разработка security baselines для всех используемых облачных сервисов; Формирование и контроль требований кибербезопасности по использованию облачных сервисов; Участие в миграции информационных систем компании в облако; Выявление потенциальных векторов атак в облачных сервисах; Создание автоматизированных проверок безопасности конфигураций в облаке; Взаимодействие с командами кибербезопасности, отвечающих за наложенные средства кибербезопасности; Постоянно повышать защищенность инфраструктуры, размещенной в облаке; Выступать заказчиком новых функций кибербезопасности; Управление группой инженеров направления (2-3). Требования: Опыт работы с облачными платформами (AWS, Azure, GCP,Yandex) - от 3-х лет; Знание протоколов аутентификации и авторизации OAuth 2.0, OIDC, SAML, и т.д.; Опыт работы с IAM решениями (облачных провайдеров или on-premise); Опыт работы с Kubernetes и контейнеризацией на уровне пользователя. Знание и опыт использования подхода Infrastructure as Code (Terraform, CloudFormation); Опыт с CI/CD pipeline security; Понимание OWASP Top 10; Понимание принципов устройства REST/gRPC API; Управление целями, управление командой. Технические навыки: Языки программирования: Python, Go, Bash; Мониторинг: Prometheus, Grafana, ELK Stack. Желательные навыки: Сертификации: AWS Security Specialty, CISSP, CCSP; Опыт с compliance frameworks (ISO 27001, PCI DSS); Знание threat modeling и risk assessment. Опыт в области DevSecOps. Контакты: @oh_my_nerdy https://cloud.ru/career/vacancies/4006010